Hoje, “Carregamento Evasivo de DLL Possível / Bypass de AWL (via cmdline)” lançada pela equipe do SOC Prime caiu na nossa coluna “Regra da Semana“: https://tdm.socprime.com/tdm/info/WWzSUxrG5vxv/ASH-E3IBjwDfaYjKRX9L/?p=1 Como você sabe, a lista branca de aplicativos (AWL) é uma abordagem proativa que permite apenas a execução de programas pré-aprovados e especificados. Qualquer outro programa não listado é […]
Conteúdo de Caça a Ameaças: CertReq.exe Lolbin
Binários Living off the Land (Lolbins) são binários legítimos que adversários avançados frequentemente usam indevidamente para realizar ações além de seu propósito original. Cibercriminosos os utilizam ativamente para baixar malware, garantir persistência, para exfiltração de dados, para movimento lateral e mais. Ontem mesmo escrevemos sobre uma regra que detecta ataques do grupo Evil Corp, que […]
Conteúdo de Detecção: Ransomware WastedLocker
O novo ransomware WastedLocker foi detectado pela primeira vez em maio de 2020. Ele foi desenvolvido pelo grupo de destaque Evil Corp, que anteriormente utilizou o Dridex trojan para implantar BitPaymer ransomware em ataques direcionados a organizações governamentais e empresas nos Estados Unidos e Europa. No ano passado, parte dos atacantes deixou o grupo e […]
Conteúdo de Caça a Ameaças: Detecção do DropboxAES RAT
Hoje queremos contar sobre o trojan DropboxAES usado pelo grupo APT31 em campanhas de espionagem cibernética e também dar um link para a regra Sigma da Comunidade para detectar este malware. Em geral, o DropboxAES não se destaca do resto dos trojans de acesso remoto. Esta é uma ferramenta relativamente nova no arsenal do APT31 […]
Vulnerabilidades CVE-2020-5903 no BIG-IP da F5 Permitem Comprometimento Total do Sistema
Na semana passada, a F5 Networks, um dos maiores fornecedores mundiais de produtos de entrega de aplicações em rede, lançou um aviso de segurança para alertar seus clientes sobre uma vulnerabilidade perigosa que os cibercriminosos poderiam começar a explorar no futuro próximo, se já não estiverem explorando de forma ativa. A falha de segurança foi […]
Resumo de Regras: Trojans e Ransomware
No resumo de hoje, queremos destacar o conteúdo fornecido pelos membros do Programa de Recompensas de Ameaças que ajudará as soluções de segurança a detectar Saefko RAT, trojan Ursa e um pacote de cepas de ransomware em propagação ativa. O Saefko RAT é um trojan de acesso remoto relativamente novo, escrito em .NET, que foi […]
Regra da Semana: Ransomware Thanos
Hoje na seção Regra da Semana, sugerimos prestar atenção à regra publicada por Emir Erdogan. A nova regra ajuda a detectar o ransomware Thanos, que utilizou a tática RIPlace para contornar soluções anti-ransomware: https://tdm.socprime.com/tdm/info/QvmZLqPG91bq/LYA4D3MBSh4W_EKGVfTV/?p=1 O ransomware Thanos apareceu pela primeira vez no final do ano passado, e seus autores o anunciaram em fóruns subterrâneos e […]
Conteúdo de Detecção: Comportamento do Ransom X
Outra família de ransomware apareceu nesta primavera e está sendo usada ativamente em ataques direcionados contra empresas e agências governamentais. Em meados de maio, cibercriminosos atacaram a rede do Departamento de Transportes do Texas, mas o acesso não autorizado foi descoberto, e, como resultado, apenas parte dos sistemas foi criptografada. Nesta ataque foi usado um […]
Conteúdo de Caça a Ameaças: Detecção do Taurus Stealer
O malware Taurus que rouba informações é uma ferramenta relativamente nova criada pela equipe Predator The Thief e promovida em fóruns de hackers. O infostealer pode roubar dados sensíveis de navegadores, carteiras de criptomoedas, clientes de FTP, clientes de e-mail e vários aplicativos. O malware é altamente evasivo e inclui técnicas para evadir a detecção […]
Conteúdo de Detecção: Comportamento do Malware PsiXBot
À medida que a Google e a Mozilla promovem o uso generalizado do protocolo DNS sobre HTTPS, mais autores de malware também adotam essa oportunidade perfeita para esconder o tráfego malicioso. As versões recentemente descobertas do PsiXBot abusam do serviço DoH do Google para recuperar os IPs para a infraestrutura de comando e controle. O […]